網(wǎng)上招投標業(yè)務流程

　　網(wǎng)上招投標的業(yè)務流程可以分為以下幾個階段

　　·招標信息制定預發(fā)布階段
　　·投標企業(yè)查閱招標信息階段
　　·投標企業(yè)制作投標書參加投標階段
　　·評標階段
　　·招標結果發(fā)布階段

　　每個階段有包含若干個步驟，圖 2‑1簡單描述了網(wǎng)上招投標的流程。從圖中可以看出整個業(yè)務流程中幾乎每一個環(huán)節(jié)都需要安全保障。

　　流程中特有的安全需求

　　在建設網(wǎng)上招投標平臺的過程當中，國富安公司看到，除去通用的物理層安全、主機安全和網(wǎng)絡安全外，在應用層面上，網(wǎng)上招投標系統(tǒng)有著符合自身特點的特殊安全性需求:

　　·身份合法性:必須能夠確認招投標人身份，保證只有適當?shù)娜瞬拍茉L問適當?shù)臉I(yè)務
　　·權限的控制:招標方操作人員、主管領導，投標方操作人員，評標專家各司其職，每個角色只能完成自己份內的工作，查看自己份內的信息
　　·不可抵賴性:投標企業(yè)在發(fā)送投標書后不能抵賴，不能否認自己的投標行為和投標書內容
　　·安全傳輸:投標信息在網(wǎng)絡上傳輸時，要不能被其他投標人了解和竄改，要能夠證明投標信息的真實性和完整性。
　　·時效性:招標信息要在同一時間通知投標方，投標資料需要在同一時間被打開，防止有人從中舞弊
　　·安全存儲:即使網(wǎng)絡主機被黑客攻破，存儲的投標文件被競爭對手獲取，由于招標文件是采用數(shù)字信封封裝的加密信息，競爭對手也無法獲得招標文件的內容。

　　為了滿足以上這些安全需求，應用開發(fā)商也曾嘗試自己開發(fā)相應的安全傳輸和認證加密程序，而由于應用開發(fā)商缺乏在安全加密領域的經(jīng)驗，往往花費了大量的人力物力，還是做不出完善的安全程序。

　　安全的網(wǎng)上招投標流程

　　針對以上安全問題，國富安公司與招投標企業(yè)共同合作，制定出安全的網(wǎng)上招投標流程，主要包括以下內容:

　　·招標信息制定預發(fā)布階段

　　制定招標信息摘要，招標申請報主管部門審批

　　業(yè)務人員和主管領導持有的數(shù)字證書和電子鑰匙通過iPass雙向身份認證進行登錄進入招投標平臺，擬定審批招標公告信息，實現(xiàn)認證、權限控制、加密傳輸、抗抵賴。

　　企業(yè)瀏覽相關信息

　　具有電子鑰匙的投標企業(yè)可以通過iPass雙向認證后訪問招標摘要信息，決定是否投標
　　企業(yè)報名參加投標并交納投標保證金
　　投標企業(yè)填寫投標申請表，并對申請表進行數(shù)字簽名，然后通過iPass加密傳輸?shù)秸袠司W(wǎng)站
　　招標單位制作正式的招標文件并使用數(shù)字信封進行加密，還設置訪問權限
　　對通過報名資格審查并交納投標保證金的企業(yè)進行授權。

 　·投標企業(yè)查閱信息階段
　　投標企業(yè)經(jīng)過授權，通過iPass進行雙向身份認證，建立加密通道下載正式的招標文件;下載企業(yè)利用自己的私鑰解密標書

　　網(wǎng)上答疑
　　通過iPass構筑安全加密通道，并驗證參加網(wǎng)上答疑的用戶的身份，只有相關的招標人員和被授權的投標企業(yè)的人員才能登錄到網(wǎng)上答疑的應用當中。

　　·制作投標書參加投標階段
　　投標企業(yè)上傳投標文件
　　投標企業(yè)在提交投標書時首先進行數(shù)字信封的封裝，然后用戶端安全API產生隨機密鑰進行加密，然后使用投標企業(yè)的私鑰信息進行簽名，實現(xiàn)保密、抗抵賴，并防止篡改。然后上傳到招投標平臺。

　　·評標階段
　　系統(tǒng)鎖定投標文件直到開標時間
　　對投標文件進行鎖定，直到開標時間，才允許開標人員訪問投標文件
　　專家委員會技術評審
　　評標專家使用個人證書登錄招投標系統(tǒng)，經(jīng)過通過iPass子系統(tǒng)實現(xiàn)雙向身份認證，并利用加密通道下載投標文件進行技術評審

　　·招標結果發(fā)布
　　驗證中標企業(yè)已經(jīng)交納相關費用
　　發(fā)布中標公告
　　授權的管理人員，經(jīng)過iPass雙向驗證，通過VPN發(fā)布中標公告